Führen Sie zum Installieren des Verzeichnissynchronisierungs-, des Benutzerauthentifizierungs- oder des Kerberos-Authentifizierungsdiensts das Workspace ONE Access Connector-Installationsprogramm auf einem Windows-Server aus, der alle Anforderungen erfüllt, und wählen Sie die Dienste aus, die Sie installieren möchten.

Sie haben die Wahl zwischen einer schnellen Standardinstallation, bei der Standardwerte für die meisten Einstellungen verwendet werden, oder einer benutzerdefinierten Installation, mit der Sie verschiedene Einstellungen konfigurieren können.

Standardinstallation Benutzerdefinierte Installation
Die folgenden Standardports werden verwendet:
  • Benutzerauthentifizierungsdienst: 8090
  • Verzeichnissynchronisierungsdienst: 8080
  • Kerberos-Authentifizierungsdienst: 443
Hinweis: Dies sind die Ports, auf denen die Dienste ausgeführt werden. Eingehende Konnektivität ist für den Port des Kerberos-Authentifizierungsdiensts erforderlich.
Mit dieser Option können Sie benutzerdefinierte Ports für die Unternehmensdienste angeben.
Hinweis: Dies sind die Ports, auf denen die Dienste ausgeführt werden. Eingehende Konnektivität ist für den Port des Kerberos-Authentifizierungsdiensts erforderlich.
Ein selbstsigniertes Zertifikat für den Konnektor wird automatisch generiert. Ermöglicht die Installation eines vertrauenswürdigen SSL-Zertifikats für den Konnektor (erforderlich für den Kerberos-Authentifizierungsdienst).
Ermöglicht das Hochladen vertrauenswürdiger Rootzertifikate in den Trust Store.
Hinweis: Wenn Ihre lokale Workspace ONE Access-Dienstinstanz ein von Ihnen installiertes selbstsigniertes Zertifikat aufweist, müssen Sie das Rootzertifikat und ggf. ein Zwischenzertifikat hochladen, um eine Vertrauensstellung zwischen den Unternehmensdiensten und der Workspace ONE Access-Dienstinstanz einzurichten.
Ermöglicht die Konfiguration eines Proxy-Servers.
Ermöglicht die Konfiguration eines Syslog-Servers.

Unabhängig vom Typ der gewählten Installation können Sie das Installationsprogramm später erneut ausführen und alle Einstellungen nach Bedarf ändern.

Voraussetzungen

  • Siehe Voraussetzungen für die Installation von Workspace ONE Access Connector.
  • Im Rahmen des Installationsvorgangs laden Sie Dateien über die Workspace ONE Access-Konsole herunter. Sie müssen möglicherweise einen anderen Browser als Internet Explorer verwenden, um die Dateien herunterzuladen. Die standardmäßigen Internet Explorer-Einstellungen verhindern möglicherweise, dass Sie die Dateien herunterladen können.

Prozedur

  1. Laden Sie das Installationsprogramm für den Workspace ONE Access Connector und eine Konfigurationsdatei über die Workspace ONE Access-Konsole herunter.
    1. Melden Sie sich bei der Workspace ONE Access-Konsole als Systemdomänen-Admin an.
      Tipp: In Cloud-Bereitstellungen ist der Systemdomänen-Admin der Admin-Benutzer, dessen Anmeldedaten Sie erhalten, wenn Sie den Workspace ONE Access-Mandanten abrufen. In lokalen Bereitstellungen ist der Systemdomänen-Admin der Admin-Benutzer, der erstellt wird, wenn Sie eine Workspace ONE Access-Instanz installieren.
    2. Navigieren Sie zur Seite Identitäts- und Zugriffsmanagement > Einrichten > Konnektoren.
    3. Klicken Sie auf Neu.
    4. Klicken Sie im Assistenten „Neuen Konnektor hinzufügen“ auf WECHSELN SIE ZU MYVMWARE.COM.
      Die My VMware-Webseite wird in einem neuen Fenster angezeigt. Lassen Sie den Assistenten geöffnet, da Sie nach dem Herunterladen des Installationsprogramms wieder dorthin wechseln.
    5. Melden Sie sich bei „https://my.vmware.com“ mit Ihren My VMware-Anmeldedaten an und laden Sie die Datei „Workspace ONE Access Connector Installer.exe“ herunter.
    6. Wechseln Sie wieder zur Workspace ONE Access-Konsole und klicken Sie im Assistenten „Neuen Konnektor hinzufügen“ auf Weiter.
    7. Generieren Sie die Konfigurationsdatei, indem Sie ein Kennwort erstellen und auf Konfigurationsdatei herunterladen klicken.
      Das Kennwort muss mindestens 14 Zeichen lang sein und aus einem Großbuchstaben, einem Kleinbuchstaben, einer numerischen Ziffer und einem Sonderzeichen bestehen. Alle Zeichen müssen sichtbar sein, wobei ASCII-Zeichen gedruckt werden.
      Die Konfigurationsdatei wird verwendet, um die Verbindung zwischen den von Ihnen installierten Unternehmensdiensten und dem Workspace ONE Access-Mandanten herzustellen. Der Name der Datei lautet standardmäßig es-config.json.
      Vorsicht: Die Konfigurationsdatei enthält vertrauliche Informationen wie z. B. die Mandanten-URL, die Mandanten-ID, die Client-ID und den Clientschlüssel für jeden Unternehmensdienst sowie den Kennwort-Hash. Es ist wichtig, dass Sie die Datei nicht teilen oder öffentlich verfügbar machen.
    8. Klicken Sie nach dem Herunterladen der Konfigurationsdatei im Assistenten auf Weiter.
  2. Kopieren Sie das Installationsprogramm und die Konfigurationsdateien auf den Windows-Server, auf dem Sie die Dienste installieren möchten.
  3. Doppelklicken Sie auf die Installationsdatei, um den Installationsassistenten von Workspace ONE Access Connector auszuführen.
  4. Klicken Sie auf der Begrüßungsseite auf Weiter.
    Das Installationsprogramm überprüft die Voraussetzungen auf dem Server. Falls .NET Framework nicht installiert ist, werden Sie zur Installation dieser Komponente und zum anschließenden Neustart des Servers aufgefordert. Führen Sie das Installationsprogramm nach dem Neustart erneut aus, um den Installationsvorgang fortzusetzen.
  5. Lesen und akzeptieren Sie die Lizenzvereinbarung und klicken Sie dann auf Weiter.
    Installationsassistent – Lizenzvereinbarung
  6. Wählen Sie die Dienste aus, die Sie installieren möchten.
    Installationsassistent – Seite zum Auswählen von Diensten
    Standardmäßig werden die Dienste im Verzeichnis C:\Program Files installiert. Um den Installationsordner zu ändern, klicken Sie auf Ändern und wählen Sie den Ordner aus.
  7. Klicken Sie auf Weiter.
  8. Wenn die neueste Hauptversion von Java Runtime Environment (JRE™) noch nicht auf dem Windows-Server installiert ist, wird die folgende Popup-Meldung eingeblendet:
    Installationsassistent – Meldung bzgl. Java-Installation
    Klicken Sie auf Ja, um JRE zu installieren. Die Installation dauert einige Minuten. Beachten Sie, dass vorhandene JRE-Versionen beim Installieren der erforderlichen Version nicht gelöscht werden.
  9. Wählen Sie auf der Seite „Konfigurationsdatei angeben“ die Konfigurationsdatei aus, die Sie von der Workspace ONE Access-Konsole heruntergeladen haben, geben Sie das von Ihnen festgelegte Kennwort ein und klicken Sie dann auf Weiter.
    Wenn sich die Konfigurationsdatei im selben Ordner wie das Installationsprogramm befindet und den Standardnamen es-config.json hat, wird sie automatisch im Textfeld angezeigt.
    Installationsassistent – Seite zum Angeben der Konfigurationsdatei
  10. Wählen Sie für die Installation zwischen Standard und Benutzerdefiniert.
    Installationsassistent – Auswahl des Installationstyps
  11. Wenn Sie den Installationstyp Standard gewählt haben, führen Sie die folgenden Schritte aus.
    1. (Nur Kerberos-Authentifizierungsdienst) Geben Sie auf der Seite „Dienstkonto angeben“ den Benutzernamen und das Kennwort des Domänenbenutzerkontos an, das zum Ausführen des Kerberos-Authentifizierungsdiensts verwendet werden soll.
      Installationsassistent – Seite zum Angeben des Domänenbenutzerkontos
      Hinweis: Wenn Sie beim Klicken auf Durchsuchen keine Domänen oder Benutzer finden, sollten Sie überprüfen, ob alle Voraussetzungen erfüllt sind.
      Hinweis: Die Seite „Dienstkonto angeben“ wird nur dann angezeigt, wenn Sie den Kerberos-Authentifizierungsdienst installieren.
    2. Klicken Sie auf Weiter.
    3. Überprüfen Sie auf der Seite „Bereit zum Installieren des Programms“ Ihre gewählten Optionen und klicken Sie dann auf Installieren.
      Installationsassistent – Seite „Bereit zum Installieren“
      Die Installation dauert einige Minuten.
  12. Wenn Sie den Installationstyp Benutzerdefiniert gewählt haben, führen Sie die folgenden Schritte aus.
    1. Geben Sie auf der Seite „Proxy-Serverinformationen angeben“ bei Bedarf einen Proxy-Server ein.
      Die Unternehmensdienste greifen auf Webservices im Internet zu. Wenn Ihre Netzwerkkonfiguration den Internetzugriff über einen HTTP-Proxy bereitstellt, müssen Sie einen Proxy-Server eingeben.
      1. Aktivieren Sie das Kontrollkästchen Proxy aktivieren.
      2. Geben Sie den Hostnamen oder die IP-Adresse des Proxy-Servers ein.
      3. Geben Sie den Port des Proxy-Servers ein.
      4. Wenn der Proxy-Server eine Authentifizierung erfordert, wählen Sie Basis/Windows aus und geben Sie den Benutzernamen und das Kennwort für den Proxy-Server ein.
      Installationsassistent – Seite „Proxy-Server“
    2. Klicken Sie auf Weiter.
    3. Wenn Sie einen externen Syslog-Server zum Speichern von Ereignismeldungen auf Anwendungsebene verwenden möchten, wählen Sie auf der Seite „Syslog-Serverinformationen angeben“ die Option Syslog aktivieren aus und geben Sie die IP-Adresse oder den FQDN des Syslog-Servers sowie den Port ein.
      Hinweis: Nur Ereignisse auf Anwendungsebene werden auf den Syslog-Server exportiert. Betriebssystemereignisse werden nicht exportiert.
      Installationsassistent – Seite „Syslog-Server“
    4. Klicken Sie auf Weiter.
    5. Laden Sie auf der Seite „Vertrauenswürdige Rootzertifikate installieren“ bei Bedarf Root- oder Zwischen-CA-Zertifikate in den Trust Store hoch.
      Der Konnektor kann sichere Verbindungen mit Servern und Clients herstellen, deren Zertifikatskette eines oder mehrere dieser Zertifikate enthält. Szenarien für das Hochladen von Zertifikaten in den Trust Store:
      • (Nur lokale Installationen) Wenn Ihre lokale Workspace ONE Access-Dienstinstanz ein von Ihnen installiertes selbstsigniertes Zertifikat aufweist, müssen Sie das Rootzertifikat und ggf. ein Zwischenzertifikat hochladen, um eine Vertrauensstellung zwischen den Unternehmensdiensten und der Workspace ONE Access-Dienstinstanz einzurichten.
      • (Nur Kerberos-Authentifizierungsdienst) Wenn Sie mehrere Instanzen des Kerberos-Authentifizierungsdiensts hinter einem Lastausgleichsdienst bereitstellen, müssen Sie das Root-CA-Zertifikat des Lastausgleichsdiensts auf den Konnektor-Instanzen installieren, um eine Vertrauensstellung zwischen den Konnektoren und dem Lastausgleichsdienst einzurichten.

      Sie können vertrauenswürdige Rootzertifikate auch später nach der Installation hochladen.

      Installationsassistent – Seite „Vertrauenswürdige Rootzertifikate“
    6. Klicken Sie auf Weiter.
    7. Überprüfen Sie die Standardports, auf denen die Unternehmensdienste ausgeführt werden, und geben Sie andere Ports an, wenn diese Ports von anderen Anwendungen verwendet werden.

      Eingehende Konnektivität ist für den Port des Kerberos-Authentifizierungsdiensts erforderlich. Für die Ports für den Benutzerauthentifizierungsdienst oder den Verzeichnissynchronisierungsdienst ist sie nicht erforderlich.

      Installationsassistent – Seite „Ports“
    8. (Nur Kerberos-Authentifizierungsdienst) Wählen Sie auf der Seite „SSL-Zertifikat für Kerberos-Authentifizierungsdienst“ das Zertifikat aus, das für den Konnektor-Server verwendet werden soll.
      Für den Kerberos-Authentifizierungsdienst wird ein von einer öffentlichen oder internen Zertifizierungsstelle signiertes vertrauenswürdiges SSL-Zertifikat benötigt. Wenn Sie bei der Installation kein vertrauenswürdiges SSL-Zertifikat hochladen, wird automatisch ein selbstsigniertes Zertifikat generiert. Sie können später ein vertrauenswürdiges SSL-Zertifikat hochladen.
      • Um ein vertrauenswürdiges SSL-Zertifikat hochzuladen, aktivieren Sie das Kontrollkästchen Möchten Sie Ihr eigenes SSL-Zertifikat verwenden?, klicken Sie auf Durchsuchen und wählen Sie die Zertifikatsdatei aus.

        Die Zertifikatsdatei muss im PEM- oder PFX-Format vorliegen. Wenn Sie eine PEM-Datei hochladen, laden Sie auch den privaten Schlüssel hoch. Wenn Sie eine PFX-Datei hochladen, geben Sie auch das Zertifikatkennwort an. Informationen zu Zertifikatanforderungen finden Sie unter Hochladen eines SSL-Zertifikats für den Workspace ONE Access Connector (nur Kerberos-Authentifizierungsdienst).

      • Um das automatisch generierte, selbstsignierte Zertifikat zu verwenden, deaktivieren Sie das Kontrollkästchen Möchten Sie Ihr eigenes SSL-Zertifikat verwenden?.
        Hinweis: Wenn Sie das von Workspace ONE Access generierte selbstsignierte Zertifikat verwenden, müssen Sie das durch Workspace ONE Access generierte Rootzertifikat zu den Trust Stores der Kunden hinzufügen. Sie können das Rootzertifikat root_ca.per nach der Installation aus dem Verzeichnis INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf erhalten.

        Das selbstsignierte Zertifikat kann für Testzwecke verwendet werden. Für Produktionszwecke empfehlen wir Ihnen jedoch, von einer öffentlichen oder internen Zertifizierungsstelle signierte SSL-Zertifikate zu verwenden.

      Installationsassistent – Seite zum Auswählen des Zertifikats
    9. Klicken Sie auf Weiter.
    10. (Nur Kerberos-Authentifizierungsdienst) Geben Sie auf der Seite „Dienstkonto angeben“ den Benutzernamen und das Kennwort des Domänenbenutzerkontos an, das zum Ausführen des Kerberos-Authentifizierungsdiensts verwendet werden soll.
      Installationsassistent – Seite „Domänenbenutzer“
      Hinweis: Wenn Sie beim Klicken auf Durchsuchen keine Domänen oder Benutzer finden, sollten Sie überprüfen, ob alle Voraussetzungen erfüllt sind.
      Hinweis: Die Seite „Dienstkonto angeben“ wird nur dann angezeigt, wenn Sie den Kerberos-Authentifizierungsdienst installieren.
    11. Überprüfen Sie auf der Seite „Bereit zum Installieren des Programms“ Ihre gewählten Optionen und klicken Sie dann auf Installieren.
      Die Installation dauert einige Minuten.
  13. Nachdem die Installation erfolgreich abgeschlossen wurde, überprüfen Sie, ob die Dienste auf dem Windows-Server ausgeführt werden.
    Dienstnamen:
    • VMware-Verzeichnissynchronisierungsdienst
    • VMware-Benutzerauthentifizierungsdienst
    • VMware-Kerberos-Authentifizierungsdienst
  14. Wechseln Sie zur Workspace ONE Access-Konsole und aktualisieren Sie die Seite Identitäts- und Zugriffsmanagement > Einrichten > Konnektoren, um sicherzustellen, dass die neuen Dienste angezeigt werden und den Status „Aktiv“ haben.
    Wenn die Installation fehlschlägt, löschen Sie sowohl das Installationsprogramm als auch die Konfigurationsdatei, das bzw. die Sie von der Workspace ONE Access-Konsole heruntergeladen haben, und starten Sie den Installationsvorgang dann erneut.

Ergebnisse

Nach erfolgreicher Installation werden die von Ihnen installierten Unternehmensdienste beim Workspace ONE Access-Mandanten registriert und auf der Seite „Konnektoren“ in der Workspace ONE Access-Konsole angezeigt.

Beispiel:

Nächste Maßnahme

  • Konfigurieren Sie in der Workspace ONE Access-Konsole die von Ihnen installierten Unternehmensdienste. Informationen zur Integration von Verzeichnissen mithilfe des Verzeichnissynchronisierungsdiensts finden Sie unter Verzeichnisintegration mit Workspace ONE Access. Informationen zum Konfigurieren der Authentifizierung mithilfe des Benutzerauthentifizierungsdiensts oder des Kerberos-Authentifizierungsdiensts finden Sie unter Verwaltung von Benutzerauthentifizierungsmethoden in Workspace ONE Access.
  • (Nur Kerberos-Authentifizierungsdienst) Wenn Sie das von Workspace ONE Access generierte, selbstsignierte Zertifikat für den Kerberos-Authentifizierungsdienst verwenden, müssen Sie das von Workspace ONE Access generierte Rootzertifikat den Trust Stores der Kunden hinzufügen. Sie können das Rootzertifikat root_ca.per aus dem Verzeichnis INSTALLDIR\Workspace ONE Access\Kerberos Auth Service\conf abrufen.

    Das selbstsignierte Zertifikat kann für Testzwecke verwendet werden. Für Produktionszwecke empfehlen wir Ihnen jedoch, von einer öffentlichen oder internen Zertifizierungsstelle signierte SSL-Zertifikate zu verwenden. Siehe Hochladen eines SSL-Zertifikats für den Workspace ONE Access Connector (nur Kerberos-Authentifizierungsdienst).